当前位置： CompoTech China > 业界资讯 >

Palo Alto Networks（派拓网络）最新安全威胁评估报告

本文作者：Palo Alto Networks 点击： 2020-06-09 14:01

前言：

作者：Palo Alto Networks（派拓网络）威胁情报团队Unit 42

Palo Alto Networks（派拓网络）威胁情报团队Unit 42的研究人员最近公布了Hangover威胁组织（又名Neon、Viceroy Tiger、MONSOON）的活动情况。该组织在南亚地区针对政府和军事组织进行BackConfig恶意软件攻击。因此，我们为Hangover组织的活动制作了这份威胁评估报告，相关技术和攻击活动可通过访问Unit 42 Playbook Viewer进一步了解。

Hangover组织是一个网络间谍组织，2013年12月首次被发现针对挪威一家电信公司进行网络攻击。网络安全公司Norman报道称，网络攻击是在印度出现的，该组织寻找并对巴基斯坦和中国等国家利益目标进行攻击。不过，也有迹象表明美国和欧洲同样存在Hangover组织的活动，主要针对政府、军方和民间组织。Hangover组织最初的入侵载体是进行鱼叉式钓鱼攻击活动，利用来自南亚本地和热点新闻诱使受害者更容易落入他们的社会工程技术陷阱，下载并执行带有攻击性的微软Office文档。当用户执行这种攻击性文档后，BackConfig和攻击者之间就建立了后门通信，开始进行间谍活动，有可能从被入侵的系统中泄露敏感数据。

整合WildFire、DNS Security以及Cortex XDR产品的Palo Alto Networks（派拓网络）威胁防御平台可以检测到与该威胁组织相关的活动。Palo Alto Networks（派拓网络）客户还可以使用AutoFocus以及Hangover、BackConfig标签查看与此威胁评估相关的活动。

结论
根据Unit 42的研究发现，Hangover组织很活跃，正在针对南亚地区的政府和军事组织发起攻击。该组织继续使用被入侵的第三方基础设施，通过包含网络钓鱼链接的鱼叉式攻击邮件，为传送攻击性文档提供支持。

随着时间的推移，传送的文档也在不断发展演变，已从纯文本代码和URL转为编码格式。从在文档中存储已编码的可执行文件到使用ZIP文件（包括打包文件），到最后从命令和控制服务器下载可执行文件。

安装传送文档中的BackConfig恶意软件是通过多阶段和多组件执行的，这很可能会逃避沙箱或其他自动分析和检测系统的监测。包括使用基于虚拟化的安全（VBS）和批处理代码，计划的任务以及条件触发文件等等。

一旦完全安装，BackConfig恶意软件就会使用HTTPS与网络犯罪分子进行通信，这会很难发现并检测到，且会混合在其他类似流量中。

一旦受感染的系统处于犯罪分子控制之下，其目标就会因部署的插件、被入侵的系统或组织的类型而发生变化。

有关威胁影响的评估以及建议采取的措施，请详细阅读本次威胁评估报告全文

关于Palo Alto Networks（派拓网络）
作为全球网络安全领导企业，Palo Alto Networks（派拓网络）正借助其先进技术重塑着以云为中心的未来社会，改变着人类和组织运作的方式。我们的使命是成为首选网络安全伙伴，保护人们的数字生活方式。借助我们在人工智能、分析、自动化与编排方面的持续性创新和突破，助力广大客户应对全球最为严重的安全挑战。通过交付集成化平台和推动合作伙伴生态系统的不断成长，我们始终站在安全前沿，在云、网络以及移动设备方面为数以万计的组织保驾护航。我们的愿景是构建一个日益安全的世界。更多内容，敬请登录Palo Alto Networks（派拓网络）官网www.paloaltonetworks.com或中文网站www.paloaltonetworks.cn。

关于 Unit 42
Unit 42 是 Palo Alto Networks 旗下的全球威胁情报团队，是网络威胁防御领域公认的权威，全球多家企业及政府机构经常向他们寻求帮助。我们的分析师是寻找和收集未知威胁以及使用代码分析进行完全逆向工程解析恶意软件的专家。凭借这些专业知识，我们提供优质、深入的研究，以深入了解威胁执行者用来入侵组织的各种工具、技术和程序。我们的目标是尽可能提供背景信息，解释攻击的具体细节、攻击的执行者及其原因，以便世界各地的安全人员可以洞悉威胁，从而更好地防御攻击。

本月热点 HOME

栏目热点 HOME